WO2005050910A1

WO2005050910A1 - A method for authenticating the device’s self-validity

Info

Publication number: WO2005050910A1
Application number: PCT/CN2004/001325
Authority: WO
Inventors: Zhengwei Wang; Ping Guo; Yongjian Dong
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2003-11-21
Filing date: 2004-11-22
Publication date: 2005-06-02

Description

一种设备验证自身合法性的方法

技术领域

本发明涉及安全验证技术，具体涉及一种设备验证自身合法性的方法。发明背景

随着对设备安全性要求的提高，目前对于设备合法性的验证也越来越重视。例如有些公司不希望员工在非工作时间使用公司的办公设备，特别是计算机，因而为每台计算机设置一个开机密码。员工在使用该计算机时，必须输入开机密码才能开机, 这样，在工作时间可以由一个密码管理员分別将每个计算机打开，使得员工可以在工作时间正常使用计算机，而在非工作时间，在密码管理员不打开计算机的情况下，员工就不能使用计算机。这种方式可以有效地控制员工使用计算机的场合和时间，但是需要一个密码管理员来对公司计算机的开机密码进行管理，因此这种管理方式给员工和公司的管理都带来不便，而且管理员可能泄露密码，整个公司的计算机系统的安全性并不高。

同样，有些高科技企业为了防止研发的核心技术泄密，通过软驱加锁、胶封计算机接口或者对机箱力 P盖等办法限制员工直接通过计算机的软驱或计算机接口从该计算机输出相关数据信息。这里的计算机接口可以是 USB 口，可以是串口，也可以是并口。这样，可以有效地限制通过这些信息输出接口导致的信息泄密行为发生，从而达到对整个研发团队的科研成果进行高度保密的目的。但是，上述做法不只是限制了信息通过上述途径进行的输出，也限制了通过上述途径进行的信息输入，因此，往往给用户的正常使用带来不便。例如，某研发人员因工作需要，急需要查看一个软盘上保存的资料信息，这时，该研发人员就必须先提出申请，并在申请通过后，由软驱钥匙保管中心指派一个专人来打开计算机的软驱锁，并且为了防止中途发生复制软驱钥匙的行为，在该专人陪同下才能进行软驱资料的查看。

特别是对于诸如移动电话的移动终端而言，其安全性对于用户来说更加重要。目前的移动终端大多数采用机卡分离的方式，也就是移动终端本身和用于验证无线网络用户信息的用户卡是两个独立的部分，在使用时将它们结合在一起即可。这种方式具有很多突出的优点，例如用户想更换一个移动终端的话，只需要购买一个新的移动终端并且将原有的用户卡插入到新的移动终端即可，这样，由于用户的信息不需要改变，因此用户也不需要向通信运营商办理任何更换移动终端的手续。

但是采用机卡分离方式给用户带来极大方便的同时，也导致移动终端被盗和被抢现象时有发生,以至于在有些地方人们不敢将移动终端挂在腰间。因为在机卡分离方式下，只要在所盗抢的移动终端上换上一个新的用户卡就可以毫无障碍地使用。这样盗贼可以将所盗抢的移动终端再销售出去从而获利。这样，用户不但经济利益受到很大影响，而且还需要去通信运营商处办理一系列手续，例如更改签约数据，给用户带来了很大的不便。

为了解决移动终端容易被盗抢的问题，一种比较常用的方法是在移动终端上设置密码保护。例如在移动终端上设置开机密码，每次开机时都需要输入正确的开机密码，移动终端才能执行向网络注册等后续操作。如果开机密码输入不正确，该移动终端就不能正常使用。这样盗贼即使得到了用户的移动终端，也会因为不能输入正确的密码而不能使用和销售。因此，这种方法在一定程度上解决了移动终端容易被盗抢的问题。但是，对于这一种方法而言，合法用户在每次开机时也需要输入密码，将给合法用户的日常使用带来非常大的麻烦。因此，目前很多用户因为觉得这样每次输入开机密码太麻烦而没有设置这样的开机密码，使得这种解决方法难以被用户接受并得到实际的应用，从而并不能从根本上解决移动终端容易被盗抢的问题。

还有一种解决方法是建设大量的设备标识寄存器（EIR )设备，并将那些被盗移动终端的国际移动设备标识（IMEI )放入相应的 EIR 的黑名单中。这样，移动终端在每次开机连接网络时，都需要到 EIR 设备中检查该移动终端所对应的 IMEI是否被加入到黑名单中，如果在黑名单中发现了该移动终端的 IMEI, 网絡认为该移动终端的用户为非法用户, 从而拒绝其业务请求。这样盗贼同样会因为所得到的移动终端不能再次使用而不能从中获利，从而可以从根本上解决移动终端容易被盗抢的问题。但是这种方法需要建设大量的 EIR设备，需要增加网络设备的建设，增加了通信运营商的建网成本。同时，该方法还需要不同的通信运营商同时统一开展这个防盗业务，以避免从一个通信运营商网络丢失的移动终端被拿到另外一个通信运营商网络中使用，这样，将大大增加通信运营商之间繁瑣的业务协调工作，因此增加了通信运营商的运营成本，也给通信运营商的业务开展带来不便。

因此，如何更有效地验证设备的合法性，特别地，如何使移动终端更有效地验证自身的合法性，是目前迫切需要解决的一个问题。发明内容

有鉴于此，本发明的主要目的是提供一种设备验证自身合法性的方法，该方法能有效地使设备验证自身的合法性，提高设备的安全性，并且实现方式筒单可靠。

为了实现上述目的，根据本发明的设备验证自身合法性的方法至少包括如下步驟：

a. 在需要进行自身合法性验证的第一设备上保存一个密钥，在第二设备上保存对应于所述密钥的配对密钥；

b. 第一设备获取对应于第二设备所保存的相应配对密钥的验证信 c 第一设备根据所述验证信息判断第一设备保存的密钥和第二设备保存的相应配对密钥是否匹配，如果是，判定自己合法；否则判定自己不合法。

这里配对密钥的险证信息可以是配对密钥本身，可以是对配对密钥进行计算后得到的计算结果，可以是对配对密钥和随机数进行联合计算的计算结果。

第一设备可以是移动终端，第二设备可以是移动通信网络中的 HLR、 AC、 EIR、 UC、短消息设备等验证设备，此时，验证设备中进一步保存配对密钥和移动终端相关信息之间的对应关系，移动终端相关信息可以是移动终端用户信息，可以是移动终端设备信息，也可以是移动终端中的用户卡信息。

第一设备是移动终端的情况下，第二设备也可以是保存有多个配对密钥的第二移动终端，或者保存一个配对密钥的用户卡或电子钥匙。

第一设备可以是计算机设备，第二设备是服务器设备，计算机在判第一设备保存的密钥和第二设备保存的配对密钥可以是一对对称密钥，也可以是非对称密钥。

从本发明的技术方案可以看出，本发明通过在第一设备设置并保存用于验证自身合法性的密钥，同时在第二设备中保存相应的配对密钥。在第一设备正常使用之前，第一设备主动或被动地获取相应的保存在第二设备上的配对密钥的验证信息，并根据从第二设备获取的验证信息验证所述配对密钥和自身保存的密钥是否匹配，如匹配，判定自己合法，也就是自己正处于合法使用状态，或者说当前使用自己的用户是合法用户；否则判定自己非法，也就是自己正处于非法使用状态，或者说当前使用自己的用户是非法用户。如果不希望第一设备被非法使用，只需要关闭第二设备，或者清除第二设备所保存的相应配对密钥，或者使第二设备对于第一设备的请求不进行正确的响应，这样第一设备就会因为得不到相应验证信息而不能正常使用。或者，如果当前操作第一设备的是一个非法用户，那么第一设备从第二设备所获取的验证信息将可能和合法用户从第二设备所获取的验证信息不同，从而使第一设备不能通过匹配验证，进而使非法用户不能正常使用第一设备。这样本发明可以有效地实现设备对于自身合法性进行验证的目的。

另外，本发明只需要在需要进行验证自身合法性的设备设置并保存一个密钥，并在另外一个设备上保存相应的配对密钥，在该设备正常使用之前执行一次获取保存在另外一个设备上的配对密钥的验证信息的操作和一次根据该验证信息验证配对密钥和自身保存的密钥是否匹配的操作即可，整个处理非常简单方便。

对于计算机正常使用密码管理而言，可以在计算机中设置并可以永久保存在该计算机的一个用于该计算机验证自身合法性的密码，同时，在一个密码管理服务器中保存一个相应的配对密码；计算机根据从密码管理服务器中获取的相应的配对密码的验证信息验证该配对密码和自己保存的密码是否匹配，如果匹配，说明计算机被合法使用，即被允许使用；否则说明计算机被非法使用，即被禁止使用。这样，通过控制密码管理服务器，就可以方便有效地控制计算机的按时、按地点使用。对于计算机防泄密而言，在计算机中设置并可以永久保存在该计算机的一个用于该计算机验证自身特殊功能开放合法性的密钥，同时，在一个信息安全服务器中保存一个相应的配对密钥；计算机根据从信息安全服务器中获取的配对密钥的验证信息验证该配对密钥和自己保存的密钥是否匹配，如果匹配，则计算机开放自身特殊功能的使用，例如允许软驱、 USB口、并口或串口正常使用，否则计算机禁止自身特殊功能的使用。这样，通过控制信息安全服务器，就可以方便有效地控制所有其它计算机相应特殊功能的开放和禁止。

对于移动终端而言，在移动终端中设置并可以永久保存在该移动终端的一个用于该移动终端验证自身合法性的密钥，同时，在一个一睑证设备中保存一个相应的配对密钥；移动终端根据从验证设备中获取的配对密钥的验证信息验证该配对密钥和自己保存的密钥是否匹配，如果匹配，说明移动终端被合法使用 , 否则说明移动终端被非法使用。这样，对于被盗抢的移动终端而言，通过控制所述验证设备保存的相应的配对密钥的存取访问，使得被盗抢移动终端无法从验证设备获取到正确的配对密钥的验证信息，进而使得被盗抢的移动终端在使用时无法通过自身的验证而被判定为非法使用，从而使得该被盗抢的移动终端无法正常使用。此时配合锁定移动终端、记录移动终端的位置、根据失主提前保存在移动终端里的通信号码通知失主并报告公安机关等方式，使得非法用户不但不能使用盗抢的移动终端获利，而且还会被迅速抓获，从而有效地杜绝盗贼盗抢移动终端的动机，帮助失主尽快找回丟失的移动终端，并进而在根本上解决移动终端容易被盗抢的问题。

对用户来说，设置密钥的过程可以由移动终端自动随机生成，当然，也可以由验证设备自动随机生成，因此，可以不需要用户进行复杂的输入。在设置了密钥后，移动终端在使用时，会自动进行上述合法性验证操作，不需要用户进行诸如输入开机密码之类的繁瑣操作，因此给用户带来了极大的便利，使得本发明更加实用。

由于通过控制所述验证设备保存的相应配对密钥的存取访问，使得被盗抢移动终端无法从验证设备获取到正确的配对密钥的验证信息，进而使得被盗抢的移动终端在使用时无法通过自身的验证而被判定为非法使用，从而使得该被盗抢的移动终端无法正常使用。因此，本发明方法不需要不同的通信运营商同时统一开展这个防盗业务，减少了通信运营商之间不必要的业务协调，降低通信运营商的运营复杂度，减少通信运营商的运营成本。

对通信运营商而言，可以充分利用已有网络设备，如在 HLR增加验证设备功能并保存相应的用于移动终端检证自身合法性的配对密钥，以便移动终端执行验证时，能够从 HLR获取到相应的配对密钥的验证信息。整个操作过程筒单，并且仅仅需要通信运营商增加很少设备投资，甚至不需要增加设备投资，而且，由于根据本发明的方法基本上不会增加通信运营商的运营复杂度，因此对运营成本几乎没有影响，因此，也使得根据本发明的方法更容易被通信运营商所接受。

综上所述，本发明能有效地验证设备的合法性,提高设备的安全性, 而且实现方式简单可靠。附图简要说明

图 1是本发明的总体流程图。 '

图 2是本发明第一实施例的方法流程图。

图 3是本发明第二实施例的方法流程图。

图 4是本发明第三实施例的方法流程图。图 5是本发明第四实施例的方法流程图。

图 6是本发明第五实施例的方法流程图。

图 7是本发明第六实施例的方法流程图。

图 8是本发明第七实施例的方法流程图。

图 9是本发明第八实施例的方法流程图。

图 10是本发明第九实施例的方法流程图。

图 11是本发明第十实施例的方法流程图。

图 12是本发明第十一实施例的方法流程图。

图 13是本发明第十二实施例的方法流程图。

图 14是本发明第十三实施例的方法流程图。

图 15是本发明第十四实施例的方法流程图。实施本发明的方式

下面结合附图和具体实施例对本发明进行详细说明。

图 1示出了本发明的总体流程图。如图 1所示，首先在步骤 101 , 在需要验证自身合法性的第一设备设置并保存一个用于第一设备验证自身合法性的密钥 Ka, 同时，在独立于第一设备的第二设备上保存一个相应的配对密钥 Kb。

在步骤 102, 第一设备在需要进行验证的时候，获取第二设备上保存的相应的配对密钥 Kb的验证信息。

在步骤 103 , 第一设备根据从第二设备获取的相应的配对密钥 Kb 的验证信息验证配对密钥 Kb和自身保存的密钥 Ka是否匹配，如果匹配，在步驟 104第一设备确定自己合法；如果不匹配，在步驟 105第一设备确定自己不合法。

上述第一设备判定自己合法实际上是第一设备判定当前使用自己的用户合法，即该用户当前合法使用自己；相应地，第一设备判定自己不合法实际上是第一设备判定当前使用自己的用户不合法，即该用户当前非法使用自己。

在步骤 102中，可以是第一设备先向第二设备发送一个请求获取相应的配对密钥 Kb的验证信息的请求消息，第二设备在接收到来自第一设备的该请求消息之后，向第一设备发送包含保存的相应的配对密钥 Kb 的验证信息的响应消息。这里第一设备向第二设备发送该请求消息可以是在第一设备出现一个特殊状态后立即进行 , 或者是在第一设备出现一个特殊状态之后经过一个随机时间或一个预先确定的时间之后进行。这里的特殊状态可以是第一设备启动，或者是第一设备连接到第二设备，也可以是到达一个周期验证时间点等等。

或者，在步骤 102中，也可以是第二设备主动向第一设备发送保存的相应的配对密钥 Kb的验证信息，例如，第二设备在第一设备连接到自己，或者是等待一个周期验证的时间点到达时，将保存的相应的配对密钥 Kb的验证信息发送给第一设备。

上述保存在第一设备的密钥 Ka和保存在第二设备的相应的配对密钥 Kb可以是对称密钥机制中的一对对称密钥，也可以是非对称密钥 (即公钥密钥）机制的一对公私密钥。对于采用对称密钥机制的情况，密钥 Ka和配对密钥 Kb可以相同，也可以不同，如果不同，应该能够从密钥 Ka筒单地推导出配对密钥 Kb。对于采用非对称密钥机制的情况，一般用该配对密钥的私钥作为密钥 Ka, 用该配对密钥的公钥作为配对密钥 Kb, 这时，由于从配对密钥 Kb推导出密钥 Ka的计算量是一个天文数字，因此，可以认为从配对密钥 Kb无法推导出密钥 Ka。对称密钥和非对称密钥是本领域技术人员公知常识，本文不对此作过多阐述。

下面通过具体实施例对本发明的方法进行进一步的详细说明。在本发明的第一实施例中，相应的配对密钥 Kb的验证信息是配对密钥 Kb本身 ,也就是第二设备直接将相应的配对密钥 Kb发送给第一设备。其具体处理过程如图 2所示。

在步骤 201 , 在需要验证自身合法性的第一设备设置并保存一个用于第一设备验证自身合法性的密钥 Ka, 同时，在另一个第二设备上保存一个相应的配对密钥 Kb。

在步驟 202，第一设备在需要进行验证的时候，向第二设备发送一个请求获取相应的配对密钥 Kb的请求消息。

在步骤 203, 第二设备在接收到来自第一设备的该请求消息之后，将自身保存的相应的配对密钥 Kb包含在一个响应消息中发送给第一设备。

在步驟 204, 第一设备验证从第二设备获取的相应的配对密钥 Kb 和自身保存的密钥 Ka是否匹配，如果匹配，在步骤 205第一设备判定自己合法；如果不匹配，在步骤 206第一设备判定自己不合法。

在本实施例中，如果密钥 Ka和配对密码 Kb相同，则步骤 204直接判断从第二设备获取的相应的配对密钥 Kb和自身保存的密钥 Ka是否相等来验证二者是否匹配。如果密钥 Ka和配对密码 Kb不相同，则可以从密钥 Ka简单地推导出配对密钥 Kb, 例如 Kb是 Ka和一个固定常量进行异或运算的结果，步骤 204直接判断从第二设备获取的相应的配对密钥 Kb是否可以由自身保存的密钥 Ka简单地推导出来来验证二者是否匹配；或者直接在步骤 201 , 在第一设备建立并保存密钥 Ka和配对密码 Kb的对应关系，步驟 204直接判断从第二设备获取的相应的配对密钥 Kb和自身保存的密钥 Ka是否满足所述建立的对应关系来验证二者是否匹配。

在第一实施例中，第二设备直接将配对密钥 Kb发送给第一设备。而我们知道，第二设备在向第一设备发送配对密钥 ¾)的过程中密钥信息容易被泄漏，因此安全性不够高。为此，本发明提出了如图 3所示的第二实施例。

在步骤 301 , 在需要验证自身合法性的第一设备设置并保存一个用于第一设备验证自身合法性的密钥 Ka, 同时，在另一个第二设备上保存一个相应的配对密钥 Kb。

在步骤 302, 第一设备在需要进行验证的时候，向第二设备发送一个请求获取相应的配对密钥 Kb的验证信息的请求消息。

在步骤 303 , 第二设备在接收到来自第一设备的该请求消息之后，按照一个预定算法根据自身保存的相应的配对密钥 Kb进行计算，得到一个计算结果，即相应的配对密钥 Kb的验证信息。

在步骤 304, 第二设备将得到的计算结果通过响应消息发送给第一设备。

在步骤 305,第一设备也根据自身保存的密钥 Ka按照预定算法进行计算，得到一个计算结果。

在步骤 306, 第一设备比较接收自第二设备的计算结果和自身得到的计算结果来验证第二设备保存的相应的配对密钥 Kb和自身保存的密钥 Ka是否匹配，如果匹配，在步骤 307第一设备判定自己合法；如果不匹配，在步骤 308第一设备判定自己不合法。

这里第二设备使用的预定算法可以是任何一种算法，较佳地是进行摘要计算。相应地，第一设备使用的预定算法可以是和第二设备使用的预定算法对应的算法。例如，如果第二设备保存的相应的配对密钥 Kb 和自身保存的密钥 Ka相同，那么，第一设备和第二设备可以通过相同的摘要算法，分别根据配对密钥 Kb和密钥 Ka进行摘要运算，得到的运算结果信息会相同，即根据配对密钥 Kb计算得到的摘要和根据密钥 Ka 计算得到的摘要相同，也就是说，通过比较摘要结果是否相同即可验证配对密钥 Kb和密钥 Ka是否匹配。还例如，如果第二设备保存的相应的配对密钥 Kb和自身保存的密钥 Ka不相同，且可以从密钥 Ka简单地推导出配对密钥 Kb, 则如果第二设备使用的是摘要算法，那么，第一设备对应的算法应该首先包括从密钥 Ka简单地推导出配对密钥 Kb, 而后再根据推导出的配对密钥 Kb进行和第二设备的计算相同的摘要算法。

在第二实施例中，对于固定的密钥用固定的算法进行运算，这样每次计算得到的结果是相同的，这一点也同样会导致计算结果信息容易因为泄露而被伪造，从而降低了本发明的安全性。为此，本发明提出了如图 4所示的第三实施例。

在步驟 401 , 在需要验证自身合法性的第一设备设置并保存一个用于第一设备验证自身合法性的密钥 Ka, 同时，在另一个第二设备上保存一个相应的配对密钥 Kb。

在步驟 402, 第一设备在需要进行验证的时候，向第二设备发送一个随机数，请求获取相应的配对密钥 Kb的验证信息。

在步骤 403 , 第二设备按照一个预定算法根据自身保存的相应的配对密钥 Kb和接收自第一设备的随机数进行计算，得到一个计算结果，即相应的配对密钥 Kb的验证信息。

在步驟 404, 第二设备将得到的计算结果发送给第一设备。

在步驟 405,第一设备根据自身保存的密钥 Ka和自身产生的随机数按照预定算法进行计算，得到一个计算结果。

在步骤 406, 第一设备比较接收自第二设备的计算结果和自身得到的计算结果来验证第二设备保存的相应的配对密钥 Kb和自身保存的密钥 Ka是否匹配，如果匹配，在步骤 407第一设备判定自己合法；如果不匹配，在步骤 408第一设备判定自己不合法。和第二实施例相似，这里第二设备使用的预定算法可以是任何一种算法，较佳地是进行加密或解密或摘要运算，例如，用密钥对随机数进行加密运算，或根据密钥计算随机数的摘要。相应地，第一设备使用的预定算法可以是和第二设备使用的预定算法对应的算法。例如，如果第二设备保存的相应的配对密钥 Kb和自身保存的密钥 Ka相同，那么，第二设备和第一设备可以通过相同的摘要算法，分别根据配对密钥 Kb和密钥 Ka对随机数进行摘要运算，得到的运算结果信息会相同，即根据配对密钥 Kb计算得到的随机数的摘要和根据密钥 Ka计算得到的随机数的摘要相同，也就是说，通过比较摘要结果是否相同即可验证配对密钥 Kb和密钥 Ka是否匹配。

另外，也可以由第二设备产生一个可控随机数来执行验证。为此提出了如图 5所示的第四实施例。

在步骤 501 , 在需要验证自身合法性的第一设备设置并保存一个用于第一设备验证自身合法性的密钥 Ka, 同时，在另一个第二设备上保存一个相应的配对密钥 Kb。

在步骤 502, 第一设备在需要进行验证的时候，向第二设备发送请求获取相应的配对密钥 Kb的验证信息的请求消息。

在步骤 503, 第二设备产生一个可控随机数，并按照一个预定算法根据自身保存的相应的配对密钥 Kb和该可控随机数进行计算，得到一个计算结果，即相应的配对密钥 Kb的验证信息。

在步骤 504, 第二设备将得到的计算结果和产生的可控随机数发送给第一设备。

在步骤 505,第一设备根据自身保存的密钥 Ka和接收自第二设备的可控随机数按照预定算法进行计算，得到一个计算结果。

在步驟 506, 第一设备比较接收自第二设备的计算结果和自身得到的计算结果是否匹配，如果匹配，执行步骤 507, 如果不匹配，在步驟 510判定自己不合法。

在步驟 507, 第一设备判断可控随机数是否可以接受，如果是，在步骤 508判定自己合法；否则在步骤 509判定此次验证操作失败。

在判定此次验证操作失败后，可以重新进行下一次验证操作，例如请求第二设备重新产生可控随机数，或者，与第二设备重新协商可控随机数的产生规则。比如，要求第二设备产生的可控随机数从某一个数开始，并且是递增产生，增量在一个范围内，比如在 0 ~ 255以内，等等。

第二设备产生可控随机数可以通过设置一个可控随机数发生 |来产生。可控随机数发生器包括一个可控数产生器和一个随机数产生器。可控数产生器能够产生一个可控数序列，可控数序列中相邻的两个数满足预设的关系，比如是前一个数大于或小于后一个数，或后一个数与前一个数的差满足一定规律，比如，这个差是恒定的值，或差值是一个比如 1到 256的区域内的数，或者差值本身是一个等差数列等等。可控数序列的一个典型例子是自然数序列，该序列中每一个数与其前一个数的差值都为恒定的 1。

第二设备利用可控随机数发生器产生随机数时，首先通过可控数产生器产生一个可控数，通过随机数产生器产生一个随机数；然后通过可控数和随机数联合计算得到一个新的随机数。这里的联合计算可以是将可控数的每一位按照一定规则插入到随机数中。

第一设备判断可控随机数是否可以接受是直接判断随机数是否是一个可控随机数。例如，第一设备接收到随机数和计算结果后，根据上述插入规律从随机数中捡出可控数，和上一次验证成功时第一设备保存的可控数，也就是参考数进行比较，判断该数值和自己保存的参考数是否满足该可控数序列预先设定的规律或关系，例如是否是递增的，差值是否在 0到 255之内等等。如果满足所述规律，则判断该数值为可控数，相应地，该随机数为可控随机数；否则，判断该随机数不是可控随机数。第一设备在每次验证成功时将捡出的可控数保存起来作为参考数，以便于下一次验证时作为比较参数使用。第一设备在初次验证时，保存的参考数可以为空值，比如为 0。

另外，对于第四实施例来说，也可以不产生可控随机数，而是在对随机数进行联合计算时进一步考虑一个验证序列号，在第一设备是移动终端、第二设备是 HLR的情况下，该验证序列号可以是用于移动终端鉴权的鉴权序列号。为此提出了如图 6所示的第五实施例。

在步驟 601 , 在需要验证自身合法性的第一设备设置并保存一个用于第一设备验证自身合法性的密钥 Ka, 同时，在另一个第二设备上保存一个相应的配对密钥 Kb。同时在第一设备和第二设备保存一个验证序列号。

在步驟 602, 在第一设备验证自身合法性时，由第二设备产生一个随机数。例如在接收到第一设备的请求消息后产生，或者在某个特定状态下产生这个随机数，例如到达预定时间等。

在步驟 603 , 第二设备产生随机数，按照一个预定算法根据自身保存的相应的配对密钥 Kb、该随机数和保存的验证序列号进行计算，得到一个计算结果，即相应的配对密钥 Kb的验证信息。

在步骤 604, 第二设备将得到的计算结果、产生的随机数和保存的验证序列号发送给第一设备。

在步驟 605 ,第一设备根据自身保存的密钥 Ka和接收自第二设备的随机数和验证序列号按照预定算法进行计算，得到一个计算结果。

在步骤 606, 第一设备比较接收自第二设备的计算结果和自身得到的计算结果是否匹配，如果匹配，执行步骤 607; 如果不匹配，在步骤 610第一设备判定自己不合法。

在步驟 607, 第一设备判断验证序列号是否可以接受，如果是，在步驟 608第一设备判定自己合法，并使用该验证序列号更新自己保存的验证序列号，否则在步骤 609判定此次验证操作失败，此时可以重新进行下一次验证操作，例如请求更新自己保存的验证序列号，或者发起一个同步验证序列号的操作，使得第二设备的验证序列号和第一设备的验证序列号同步，比如将第一设备的验证序列号发送给第二设备，第二设备根据第一设备的验证序列号来更新自己的验证序列号，使得二者保存的验证序列号一致起来，从而保证下次第一设备判断验证序列号是可以接受的。

步骤 604进一步包括第二设备更新验证序列号的操作。

这里判断验证序列号是否可以接受是判断当前验证序列号和第一设备保存的验证序列号之间是否满足预先设定的条件。这里预先设定的条件是当前验证序列号和第一设备保存的验证序列号之间的差在一个预定范围内。当然，也可以是其它条件。

当然可以理解，也可以先判定验证序列号是否可以接受，如果可以接受，则判断计算结果是否匹配，如果不匹配则判定第一设备不合法，如果匹配，则判断第一设备合法；如果判断验证序列号不匹配，可以发起同步验证序列号的操作。

上述，第一验证设备判定验证操作失败也可以是第一设备判定自己不合法。

在前面的实施例中，配对密钥 Kb和密钥 Ka—般是属于一对对称密钥。如果配对密钥 Kb和密钥 Ka是一对非对称密钥，那么，还可以将 Ka作为私钥保存在第一设备,将配对密钥 Kb作为公钥保存在第二设备。为此，本发明提出了如图 7所示的第六实施例。在步骤 701 , 在需要验证自身合法性的第一设备设置并保存一个用于第一设备验证自身合法性的私钥 Ka, 同时，在另一个第二设备上保存一个相应的配对公钥 Kb。

在步骤 702, 第一设备在需要进行验证的时候，向第二设备发送一个随机数，请求获取相应的配对公钥 Kb的验证信息。

在步骤 703, 第二设备按照一个预定算法根据自身保存的相应的配对公钥 Kb对接收自第一设备的随机数进行加密计算，得到随机数的密文，即相应的配对公钥 Kb的验证信息。

在步驟 704, 第二设备将得到的密文发送给第一设备。

在步驟 705,第一设备根据自身保存的私钥 Ka解密从第二设备得到的密文，并得到相应的明文。

在步骤 706, 第一设备比较解密得到的明文和自己在步驟 702发送给第二设备的随机数是否相同，来验证第二设备保存的相应的配对密钥 Kb和自身保存的密钥 Ka是否匹配，如果匹配，在步骤 707第一设备确定自己合法；如果不匹配，在步驟 708第一设备确定自己不合法。

在本发明中 , 可以在第一设备上设置一个表示是否执行合法性验证的验证开关，第一设备在需要进行验证的时候，首先读取该验证开关的值，如果该值表示不执行合法性验证, 那么第一设备不执行验证步骤而直接判定自身合法。如果验证开关的值表示需要进行验证，第一设备执行从第二设备获取验证信息并判断验证信息的正确性的步骤，并根据判断结果来判定自身是否合法。

当然，用户可以对保存在第一设备上的密钥或者验证开关等等进行维护管理操作，例如设置密钥、查看密钥、设置验证开关、查看验证开关等等。为了第一设备的使用安全性，针对这些维护管理操作，可以进一步设置一个维护管理操作密码。具体地说，预先在第一设备上设置一个维护管理操作密码，当用户需要对第一设备的密钥或者验证开关进行维护管理操作时，第一设备首先提示用户输入维护管理操作密码，如果用户输入的维护管理操作密码正确，第一设备允许用户进行维护管理操作；否则第一设备不允许用户进行维护管理操作。

在如图 8所示的本发明的第七实施例中，第一设备是移动终端，第二设备是保存了移动终端的用户信息的验证设备，例如可以是 HLR, 也可以是 AC。

在步骤 801 , 在移动终端上设置并保存一个密钥 Ka。该密钥 Ka可以是位数不限的任意字符组合，较佳地是使用 128bit以上的数字密钥。该密钥 Ka应该能够无供电永久保存在移动终端, 即在移动终端无供电情况下，密钥 Ka依然会保存在移动终端中而不会丟失。

在步骤 802, 在一个验证设备中保存该密钥 Ka的配对密钥 Kb和移动终端用户的用户信息之间的对应关系。这里的用户信息可以是移动终端的号码，可以是用户卡的国际移动用户标识（IMSI )信息，可以是用户的签约数据，也可以是其它能够标识移动终端的用户身份的任何信息，例如用户卡的电子序列号 ESN、用户卡或移动终端中保存的用户的身份证号码，等等。

在步骤 803 , 移动终端在连接到网络后，向例如 HLR的验证设备发送一个请求移动终端密钥 Ka的配对密钥 Kb的请求消息。

在步骤 804, 验证设备在接收到来自移动终端的请求消息后，通过响应消息将对应于该移动终端的当前用户信息的相应的配对密钥 Kb发送到对应的移动终端。

在步骤 805,移动终端在接收到来自验证设备的密钥 Kb后，验证从验证设备得到的配对密钥 Kb和自身所保存的密钥 Ka是否匹配，如果二者匹配，在步骤 806判定移动终端合法，也就是移动终端的当前用户是合法用户，这时移动终端允许进行任何操作，如果二者不匹配，在步骤

807确定移动终端不合法，也就是移动终端的用户是非法用户。

在步骤 807确定移动终端的用户非法之后，此时移动终端可以执行锁定操作以拒绝用户的业务操作，或者通知网絡停止对该移动终端进行服务等等。例如，移动终端可以执行锁定键盘、对用户的操作停止响应等处理，从而使用户不能再使用该移动终端。并且还可以通过通信网络向通信运营商发送一个报警信息，由通信运营商报告公安机关进行处理，或直接向公安机关报警，当然移动终端用户也可以提前在移动终端设置一个通信报警号码，例如设置为自己亲友的通信号码，移动终端在发现被非法使用后，根据失主提前保存在移动终端里的通信报警号码通知失主。另外，在执行锁定键盘、对用户的操作停止响应等处理时，移动终端可以播放诸如 "你是非法用户" 等声音信息，以引起非法用户周围人的注意。

当然，可以理解，在第七实施例中可以像第二实施例一样对密钥进行例如摘要运算的预定计算来进行相应的匹配验证。可以像第三实施例一样进一步生成一个随机数，并利用该随机数和密钥进行联合计算来进行相应的匹配验证。可以像第四实施例一样，生成可控随机数并进一步判断可控随机数是否可以接受。可以像第五实施例一样，保存验证序列号并进一步判断验证序列号是否可以接受。可以像第六实施例那样，在移动终端保存一个私钥，在对应的验证设备保存的该私钥的配对公钥和移动终端用户的用户信息之间的对应关系。在这种情况下，通过移动终端给验证设备发送一个随机数，验证设备根据移动终端用户信息获取对应的配对公钥，用该公钥加密所述随机数，并将得到的密文发送给移动终端，移动终端根据自己保存的私钥解密密文得到随机数的明文, 而后通过比较该明文和自己发送给验证设备的随机数是否相同即可判断自己保存的私钥和验证设备保存的相应于移动终端当前用户信息的公钥是否匹配来判断移动终端被使用的合法性状态。也就是说，在第七实施例中可以结合第一至第六实施例中任意一种运算方式。

在如图 9所示的本发明的第八实施例中，第一设备是移动终端，第二设备是一个短消息转发设备，这里的短消息转发设备可以是一个短消息中心。

在步驟 901 , 预先设置一个特殊的短消息通信号码。

在步骤 902, 在移动终端中设置并保存一个密钥 Ka。

在步骤 903, 在短消息转发设备中增加用户信息和设置在移动终端中的密钥 Ka的配对密钥 Kb之间的对应关系。

在步驟 904, 移动终端在连接到网络后，通过将该特殊短消息通信号码作为被叫号码发送一个请求移动终端密钥 Ka的配对密钥 Kb的短消在步驟 905, 短消息转发设备在接收到来自移动终端的短消息后，根据短消息的目的号码为特殊的短消息通信号码判断该短消息是移动终端请求密钥的短消息。

在步骤 906, 短消息转发设备根据短消息中携带的移动终端号码或者 IMSI信息获取对应于该移动终端用户的相应的配对密钥 Kb。

在步骤 907, 短消息转发设备向该移动终端发送一条短消息，该短消息的主叫号码为前面提到的所述特殊的短消息通信号码，该短消息携带了短消息转发设备所获取的相应的配对密钥 Kb。

在步骤 908, 移动终端接收到主叫号码为该特殊短消息通信号码的短消息之后，从中提取出短消息转发设备获取的相应的配对密钥 Kb。

在步骤 909, 移动终端比较从短消息转发设备得到的相应的配对密钥 Kb是否和自身所保存的密钥 Ka 匹配，如果二者匹配，在步骤 910 移动终端判定自己合法，也就是表明移动终端的当前用户是合法用户，这时移动终端允许进行任何操作，如果二者不匹配，在步驟 911移动终端判定自己不合法，也就是表明移动终端的当前用户是非法用户。

和第七实施例相比，这里移动终端向验证设备发送的请求消息和验证设备返回给移动终端的响应消息都是通过短消息来发送的。

在如图 10所示的本发明的第九实施例中，第一设备是移动终端，第二设备是一个短消息收发设备，这里的短消息收发设备可以是第二移动终端，也可以是一个短消息服务器。

在步骤 1001 , 为验证所需的短消息收发设备设置一个短消息通信号码。

在步骤 1002，在移动终端中设置并保存一个密钥 Ka。

在步骤 1003, 在短消息收发设备中增加用户信息和设置在移动终端中的密钥 Ka的配对密钥 Kb之间的对应关系。

在步驟 1004, 移动终端在连接到网络后，通过该短消息通信号码向短消息收发设备发送一个请求移动终端密钥 Ka的配对密钥 Kb的短消息。

在步骤 1005 , 短消息收发设备在接收到来自移动终端的短消息后，根据短消息中携带的移动终端号码或者 IMSI信息获取对应于该移动终端用户的相应的配对密钥 Kb。

在步骤 1006, 短消息收发设备向该移动终端发送一条短消息，该短消息携带了短消息收发设备所获取的相应的配对密钥 Kb。

在步骤 1007, 移动终端接收到主叫号码为该短消息收发设备的短消息通信号码的短消息之后，从中提取出短消息收发设备获取的相应的配对密钥 Kb。

在步骤 1008, 移动终端比较从短消息收发设备得到的相应的配对密钥 Kb是否和自身所保存的密钥 Ka匹配，如果二者匹配，在步骤 1009 移动终端判定自己合法，也就是表明移动终端的当前用户是合法用户，这时移动终端允许进行任何操作，如果二者不匹配，在步骤 1010移动终端判定自己不合法，也就是表明移动终端的当前用户是非法用户。

在上面第八和第九实施例中，对于作为短消息转发设备的短消息中心来说，它可以直接接收来自移动终端的短消息并向移动终端发送短消息 , 而对于作为短消息收发设备的短消息服务器或另外的第二移动终端来说，移动终端和短消息服务器之间的短消息交互，或者移动终端和第二移动终端之间的短消息交互需要经过短消息中心的转发。

在第二设备是一个短消息收发设备的情况下，短消息收发设备往往 '并不专门用于响应移动终端的验证请求，这些短消息收发设备还可能处理一些作为其它用途的短消息，这时，短消息收发设备需要区分出用于验证请求的短消息。此时可以在移动终端发送给短消息收发设备的用于验证请求的短消息中加入验证操作码用以区分该短消息是用于验证请求的短消息，以便于短消息收发设备能够区分处理。相应地，短消息收发设备在返回给移动终端的所述验证请求的应答短消息中，也应该加入验证操作码用以区分该短消息是所述验证请求的应答短消息，以便于移动终端能够区分处理。这里的验证操作码例如可以是在短消息的起始部分增加一个特定的内容来标识。

这里的短消息转发设备和短消息收发设备可以统称为短消息设备。在如图 11所示的本发明的第十实施例中，第一设备是移动终端，验证设备是一个未结构化补充业务数据 ( USSD ) 中心（UC )。

在步驟 1101 , 在移动终端中设置并保存一个密钥 Ka。

在步骤 1102,在 UC中增加用户信息和设置在移动终端中的密钥 Ka 的配对密钥 Kb之间的对应关系。在步骤 1103 , 移动终端在连接到网络后，通过 USSD命令向 UC发送一个请求移动终端密钥 Ka的配对密钥 Kb的请求消息。

在步骤 1104, UC在接收到来自移动终端的请求消息后，根据请求消息中携带的用户信息获取对应于该移动终端用户的相应的配对密钥 Kb。

在步骤 1105, UC将获取的相应的配对密钥 b通过 USSD命令发送给移动终端。

在步骤 1106, 移动终端比较从 UC得到的相应的配对密钥 Kb是否和自身所保存的密钥 Ka匹配，如果二者匹配，在步骤 907移动终端判定自己合法，也就是表明移动终端的当前用户是合法用户，这时移动终端允许进行任何操作，如果二者不匹配，在步骤 908移动终端判定自己不合法，也就是表明移动终端的当前用户是非法用户。

对于第九实施例，如果第二设备是第二移动终端的情况，也可以是像第十实施例一样，移动终端在向第二移动终端发送验证请求时，不是通过短消息 , 而是通过用户到用户信令（ UUS )传递驺证请求；相应地，第二移动终端在向移动终端发送请求消息的响应消息时，同样可以不是通过短消息，而是通过 UUS传递响应消息。

实际当中，对于第一设备是移动终端，第二设备是第二移动终端的情况，第二移动终端可以不进行所述保存用户信息和相应的配对密钥 Kb之间的对应关系的操作，而是直接保存所述作为第一设备的移动终端的密钥 Ka的配对密钥 Kb即可，这是因为该第二移动终端可能保存有限几个作为第一设备的移动终端的密钥 Ka的配对密钥 Kb,在这种情况下，第二移动终端接收到验证请求后，可以将保存的全部的配对密钥 Kb发送给需要验证的移动终端，需要验证的移动终端判断是否存在一个来自于第二移动终端配对密钥 Kb和自己保存的密钥 Ka匹配，如果存在，检证通过，否则险证不通过。

在第七至第十实施例中，在验证设备中保存了移动终端用户的用户信息和相应的配对密钥 Kb的对应关系。实际当中，可以用移动终端的标识信息替代保存在作为第二设备的验证设备里所述对应关系中移动终端用户的用户信息。这里的移动终端的用户信息和移动终端的标识信息可以统称为移动终端相关信息。在下述实施例中，在睑证设备中保存了移动终端的标识信息和相应的配对密钥 Kb的对应关系。

在如图 12所示的本发明的第十一实施例中，第一设备是移动终端，第二设备是保存了移动终端的标识信息的验证设备，例如可以是 HLR, 也可以是 AC，还可以是 EIR。

在步骤 1201，在移动终端上设置并保存一个密钥 Ka。该密钥 Ka可以是位数不限的任意字符组合，较佳地是使用 128bit以上的数字密钥。该密钥 Ka应该能够无供电永久保存在移动终端，即在移动终端无供电情况下，密钥 Ka依然会保存在移动终端中而不会丟失。

在步骤 1202, 在一个验证设备中保存该密钥 Ka的配对密钥 Kb和移动终端的标识信息之间的对应关系。这里的标识信息可以是移动终端的标识, 比如对于 GSM来说，可以是 IMEI, 对于 CDMA来说，可以是 ESN，当然，也可以是用户为该移动终端自定义的一个个性化信息。

在步驟 1203 , 移动终端在连接到网络后，向例如 HLR的验证设备发送一个请求移动终端密钥 Ka的配对密钥 Kb的请求信息，该请求信息中携带了该移动终端的标识信息。

在步骤 1204, 验证设备在接收到来自移动终端的请求信息后，根据该移动终端的标识信息获取相应的配对密钥 Kb，并将该配对密钥 Kb发送到对应的移动终端。

在步骤 1205, 移动终端在接收到来自验证设备的密钥 Kb后 , 验证从验证设备得到的配对密钥 Kb和自身所保存的密钥 Ka是否匹配，如果二者匹配，在步骤 1206判定移动终端合法，也就是移动终端的当前用户是合法用户，这时移动终端允许进行任何操作，如果二者不匹配，在步驟 1207判定移动终端非法，也就是移动终端的当前用户是非法用户。

在这里，可以进一步对于验证设备中保存的配对密钥和移动终端相关信息之间的对应关系设置一个标识，对于丟失的移动终端设置该标识为移动终端已丢失。此时，在验证设备确定配对密钥之前进一步包括：确定该标识是否表示移动终端已丟失，如果是，获取移动终端用户的签约信息，从而确定非法使用移动终端的当前用户的信息，以帮助查找被盗抢的移动终端的下落；否则按照正常流程处理，也就是执行确定配对密钥的步骤及其后续步骤。当然可以理解，也可以在确定配对密钥之后再进行标识的判断，也能达到同样的效果。

同样，第七到第十实施例中，通过用移动终端的标识信息替代保存在作为第二设备的验证设备里所述对应关系中移动终端用户的用户信息，并在作为第一设备的移动终端向验证设备发送验证请求消息时，携带该移动终端的标识信息，相应地，验证设备根据请求消息中携带的移动终端标识信息获取相应的配对密钥 Kb。

在如图 13所示的本发明的第十二实施例中，第一设备是移动终端，第二设备是插入在移动终端中的用户卡。

在步骤 1301 , 在移动终端上设置并保存一个密钥 Ka, 在用户卡上设置并保存该密钥 Ka的配对密钥 Kb。

在步骤 1302, 移动终端向用户卡发送一个请求获取配对密钥 Kb的验证信息的请求消息。

在步驟 1303，用户卡接收到来自移动终端的请求消息后，将配对密钥 Kb的验证信息发送给移动终端。在步骤 1304，移动终端验证从用户卡得到的配对密钥 Kb的验证信息和自身所保存的密钥 Ka的验证信息是否匹配，如果二者匹配，在步驟 1305 判定移动终端合法，也就是移动终端的当前用户是合法用户，这时移动终端允许进行任何操作，如果二者不匹配，在步骤 1306 判定移动终端非法，也就是移动终端的当前用户是非法用户。

在第十二实施例中，可以使用和移动终端配套使用的电子钥匙替代用户卡，也能达到同样的效果。

当然，可以理解，在第十二实施例中可以像第一实施例一样配对密钥的验证信息是配对密钥本身。可以像第二实施例一样对密钥进行例如摘要运算的预定计算来进行相应的匹配验证。可以像第三实施例一样进一步生成一个随机数, 并利用该随机数和密钥进行联合计算来进行相应的匹配验证。可以像第四实施例一样，生成可控随机数并进一步判断可控随机数是否可以接受。可以像第五实施例一样，保存验证序列号并进一步判断验证序列号是否可以接受。可以像第六实施例那样，在移动终端保存一个私钥，在用户卡保存该私钥的配对公钥。在这种情况下，通过移动终端给用户卡发送一个随机数, 用户卡用该配对公钥加密所述随机数，并将得到的密文发送给移动终端 , 移动终端根据自己保存的私钥解密密文得到随机数的明文，而后通过比较该明文和自己发送给用户卡的随机数是否相同即可判断自己保存的私钥和用户卡保存的公钥是否匹配来判断移动终端被使用的合法性状态。也就是说，在第十二实施例中可以结合第一至第六实施例中任意一种运算方式。

在第七至第十二实施例中, 在移动终端中保存密钥 Ka和在验证设备中保存相应的配对密钥 Kb之间没有严格的先后顺序，也就是也可以先在验证设备中保存对应于移动终端用户的用户信息或移动终端的标识信息的相应的配对密钥 Kb, 然后再在移动终端中保存该密钥 Ka。更进一步，对应于移动终端的密钥 Ka和 Ka的配对密钥 Kb可以由移动终端产生，并在移动终端保存密钥 Ka, 将配对密钥 Kb发送给验证设备由验证设备保存；或者对应于移动终端的密钥 Ka和 Ka的配对密钥 Kb由验证设备产生，并在验证设备保存配对密钥 Kb，将密钥 Ka发送给相应的移动终端由移动终端保存。

从移动终端向例如 HLR和 AC的验证设备发送配对密钥 Kb可以通过两种方式。一种方式是呼叫一个特殊号码号首，然后将需要发送的上述信息附加在该号首之后发送到验证设备。例如，假设配对密钥 Kb为 5134356, 呼叫一个特殊号码号首 17999, 然后将配对密钥 Kb5134356 附加在 17999之后，也就是呼叫 179995134356, 这样验证设备将根据预先的约定提取出配对密钥 Kb5134356。第二种方式是通过在验证设备中增加补充业务命令操作码来实现。例如，通过用于设置密钥的 SetK操作码在验证设备中设置移动终端密码 Ka的配对密钥 Kb, 通过 GetK命令，从所述验证设备获取移动终端密钥 Ka的配对 '密钥 Kb。对于移动终端是 HLR的情况， SetK可以通过设置呼叫转移命令来完成，比如设置呼叫转移的目的号码的号首为一个特殊号首，并在号首后附加需要设置的配对密码 Kb。 GetK可以由查询呼叫转移状态命令来完成。比如， HLR 返回移动终端的呼叫转移目的号码的号首为一个特殊号首，并在号首后附加查询得到的配对密码 Kb。当然，也可以通过其它方式来传送配对密钥 Kb。

在这些实施例中 ,对于由移动终端产生密钥 Ka和配对密钥 Kb来说，可以自动产生，也可以手动产生。在自动产生的情况下，如果用户通过移动终端的菜单选择了合法性验证操作执行合法性验证功能设置时 , 移动终端判断自己保存的密钥 Ka是否为空，如果为空，则移动终端自动随机产生并保存密钥 Ka和配对密钥 Kb, 对于二者相同的情况，移动终端只需要产生一个即可，然后保存密钥 Ka, 并将该配对密钥 Kb自动发送到验证设备中，例如通过使用 SetK操作码。验证设备在得到了移动终端送来的配对密钥 Kb之后，建立该配对密钥 Kb与移动终端当前用户信息或移动终端标识信息之间的对应关系。如果是手动产生，移动终端会要求用户自己输入密钥 Ka和配对密钥 Kb，在用户输入之后保存用户输入的信息（或者只保存密钥 Ka ), 并将该配对密钥 Kb发送到验证设备中。在自动方式中，移动终端可以将随机产生的密钥显示给用户。移动终端在执行合法性验证功能设置时，如果发现自己保存的密钥 Ka不为空，则移动终端直接 4艮据密钥 Ka得到配对密钥 Kb, 并将该配对密钥 Kb发送给验证设备进行保存。根据密钥 Ka得到配对密钥 Kb可以是根据密钥 Ka推导出配对密钥 Kb, 或根据密钥 Ka查询出配对密钥 Kb, 等等。

关于第一设备设置密钥 Ka和第二设备设置配对密钥 Kb可以有多种方式，这里不罗列。

移动终端用户可以对密钥 Ka和配对密钥 Kb进行设置、查看、更改和清除的操作，同时将对配对密钥 Kb的设置或更改结果同步到验证设备，由验证设备修改原来保存的相应的移动终端用户的用户信息和配对密钥 Kb的对应关系，由验证设备修改原来保存的相应的移动终端的标识信息和配对密钥 Kb的对应关系。

当然，还可以在移动终端中设置是否执行验证操作的验证开关，这样，移动终端在验证开关打开的情况下才会执行上述验证操作 , 否则，移动终端直接判断自己被合法使用。移动终端用户可以执行关闭和打开验证开关的操作。

可以在移动终端设置维护操作密码，限制对密钥信息的设定、查看、更改和清除操作，以及对验证开关设定和验证开关状态查看操作。这里的设定操作包括打开和关闭。当用户需要查看密钥信息等维护操作时，必须输入该密码，移动终端判断密码是否正确，如果正确允许用户查看，否则不允许用户查看。这样，可以进一步防止盗贼获取用户设置在移动终端里的密钥信息，从而，即方便用户，又不失防盗效果。

为了便于合法用户的操作维护，移动终端应该能够在不连接移动网絡的状态下使用户能够对移动终端进行维护操作。比如，用户如果因为换卡导致了移动终端 3佥证不通过，移动终端可以提示用户主动进行关闭验证开关的操作或重新设定密钥 Ka的操作。

在需要进行验证的第一设备是移动终端的情况下，可以将移动终端中的密钥 Ka保存在移动终端中单独设置的一个芯片上，可以将该芯片称为合法性验证芯片。本发明中由移动终端判断保存在移动终端里的密钥 Ka和保存在验证设备的相应的配对密钥 Kb是否匹配的操作可以由该合法性验证芯片来完成。

在第一设备是移动终端而第二设备是验证设备的情况，如果在验证设备保存的是移动终端密钥 Ka的配对密钥 Kb和移动终端用户的用户信息的对应关系，则需要说明的是，在移动终端设置合法性验证功能后，用户不论是更换用户卡还是更换号码，而相应验证设备的该用户的用户信息所对应的相应的配对密钥 Kb没有改变，也就是仍然和移动终端保存的密钥 Ka 匹配，那么即使是更换用户卡后移动终端仍然能够通过本发明的验证操作。相反，如果用户信息中配对密钥 Kb发生变化，也就是和移动终端保存的密钥 Ka不再匹配，则移动终端都不能通过本发明的验证操作。因此，对于移动终端被盗情况，由于盗贼的用户信息所对应的配对密钥 Kb不能和盗取的移动终端的密钥 Ka匹配，因此，盗贼将无法正常使用该移动终端。

如果合法用户忘记了移动终端保存的密钥信息，则该合法用户可以通过密码查看该密钥信息；同样，该用户也可以根据身份证明从运营商处查获自己设置在验证设备中的相应的配对密钥 Kb。因此，移动终端增加合法性验证功能，在提高用户移动终端安全性的同时，不会给合法用户带来使用和维护上的麻烦。

在上述第一设备是移动终端而第二设备是验证设备的情况下，如果在验证设备保存的是移动终端密钥 Ka的配对密钥 Kb和移动终端标识信息的对应关系，移动终端更换用户卡后，如果移动终端仍然可以访问到相应的验证设备，比如验证设备由不同运营商所共同建设，或者允许不同运营商的用户互相访问该验证设备，那么移动终端仍然能够正常使用。如果验证设备为一个设备运营商所拥有，并且只允许本运营商网络的用户访问该验证设备，则移动终端在更换了用户卡后，如果该用户卡为本运营商网络的用户卡，那么移动终端使用不受影响；如果该用户卡不为本运营商网络的用户卡，那么移动终端由于无法访问相应的险证设备而不能通过验证，从而使移动终端无法正常使用，这样，可以有效地防止非法跳网现象的发生。在这种情况下，如果用户的移动终端被盗，用户可以凭借自己的身份证明，请求运营商删除验证设备里保存的该移动终端的标识信息和相应的配对密钥 Kb的对应关系，这样，由于盗贼再次使用时，被盗移动终端无法从验证设备获取移动终端进行验证时需要的相应的配对密钥 Kb, 因此，盗贼将无法正常使用该移动终端，因此实现了防盗效果。

本发明提到的移动终端可以是移动电话、个人数字助理（PDA )、便携式计算机或个人计算机（PC )等，只要它们能够直接或间接地连接相应的通信网络上的验证设备，都可以应用本发明来验证设备使用的合法性。

另外，对于公司希望限制员工在非工作时间使用计算机的情况，本发明提出了如图 14所示的第十三实施例。其中第一设备是计算机设备，第二设备是密码管理服务器。

在步骤 1401 , 在计算机设备中保存一个正常使用密码。

在步骤 1402, 在密码服务器中保存一个所管理的计算机设备和相应正常使用密码的对应关系。

在步骤 1403 , 当计算机设备开机后需要输入正常使用密码时，向密码管理服务器发送请求正常使用密码的请求消息。

在步骤 1404, 如果密码管理服务器确认计算机设备可以开机，将对应的正常使用密码发送给该计算机设备; 否则向计算机设备发送一个获取密码失败消息或者一个错误的正常使用密码。

在步骤 1405 , 计算机设备比较获取自密码管理服务器的正常使用密码和自身保存的正常使用密码是否一致。如果一致，在步驟 1406判定自己合法，并允许进入正常使用状态; 否则在步驟 1407判定自己不合法，并禁止进入正常使用状态 , 或者直接关机，这样员工就不能使用该计算机设备。

当然可以理解，如果密码管理服务器在非工作时间关闭或者对于计算机设备发来的请求消息不予响应，那么计算机设备将得不到来自密码管理服务器的开机密码信息，在步驟 1405 中的比较必然会失败，从而不能正常开机。这样公司可以筒单地通过在工作时间和非工作时间分别打开和关闭密码管理服务器就可以限制员工在非工作时间使用公司的计算机设备。

对于计算机防泄密而言，本发明提出了如图 15 所示的第十四实施例。

在步驟 1501 , 在计算机中设置并保存一个用于该计算机验证自身特殊功能开放合法性的密钥 Ka。在步骤 1502, 同时，在一个信息安全服务器中保存一个所述计算机相应的配对密钥 Kb。

在步骤 1503,计算机根据需要执行特殊功能时，例如需要使用软驱，或需要通过 USB口向计算机写入数据等等，从信息安全服务器中获取配对密钥 Kb的-险证信息。

在步驟 1504, 信息安全服务器根据发出请求的计算机的信息获取相应的配对密钥 Kb,并将获取的配对密钥 Kb的验证信息发送给该计算机。

在步骤 1505 , 计算机接收到信息安全服务器返回的所述配对密钥 Kb的验证信息后，根据该验证信息判断配对密钥 Kb和自己保存的密钥 Ka是否匹配，如果匹配，则在步骤 1506, 计算机开放自身特殊功能的使用，例如允许软驱、 USB口、并口或串口正常使用，否则在步骤 1507, 计算机禁止自身特殊功能的使用。

这里，密钥 Kb可以和密钥 Ka相同，且密钥 Kb的验证信息可以是密钥 Kb本身，步驟 1505根据该验证信息判断配对密钥 Kb和自己保存的密钥 Ka是否匹配为判断 Kb是否和 Ka相同。 ·

当然，可以理解，在第十四实施例中可以像第二实施例一样对密钥进行例如摘要运算的预定计算来进行相应的匹配验证，也可以像第三实施例一样进一步生成一个随机数，并利用该随机数和密钥进行联合计算，来进行相应的匹配验证。同样，也可以像第四实施例那样，进一步生成可控随机数并判断该可控随机数是否可以接受。像第六实施例那样，在计算机保存一个私钥，在对应的信息安全服务器保存的该私钥的配对公钥和该计算机信息之间的对应关系，并且，通过该计算机给信息安全服务器发送一个随机数，信息安全服务器根据该计算机信息获取对应的配对公钥，用该公钥加密所述随机数，并将得到的密文发送给该计算机，该计算机根据自己保存的私钥解密密文得到随机数的明文，而后通过比较该明文和自己发送给信息安全服务器的随机数是否相同即可判断自己保存的私钥和信息安全服务器保存的相应于该计算机的公钥是否匹配，进而判断计算机是否允许相应的特殊功能被使用。

这样，通过控制信息安全服务器，就可以方便有效地控制所有其它计算机相应特殊功能的开放和禁止。

可以理解，对于第一设备无法从第二设备获取相应的配对密钥 Kb 的验证信息的情况，也就是第二设备不存在密钥 Ka的配对密钥 Kb, 第一设备将直接判定自己不合法。

上述所有实施例中，在验证设备中保存所述移动终端用户的用户信息与相应的配对密钥 Kb的对应关系、移动终端的标识信息与相应的配对密钥 Kb 的对应关系、移动终端的个性化信息与相应的配对密钥 Kb 的对应关系、计算机与相应的配对密码 Kb的对应关系以及计算机与相应的配对密钥 Kb的对应关系，实际上是将移动终端用户的用户信息、移动终端的标识信息、移动终端的个性化信息、例如计算机设备标识的计算机信息等作为一个帐户的名称，而将配对密钥 Kb作为该帐户的密钥。这样，第一设备在执行验证时，根据相应的帐户名称，从相应的验证设备获取相应的配对密钥 Kb的验证信息，并根据该验证信息验证保存在第二设备的相应的配对密钥 Kb和自己保存的密钥 Ka是否匹配。因此，由本分明延伸出来的设置用于验证的帐户名称和密钥 Ka等等实现方法应属于本发明的保护范围内。

本发明中，移动终端相关信息可以是移动终端的用户信息，用户信息是移动终端号码信息、国际移动用户标识 IMSI信息或者是用户签约数据中的一种或者任意組合。上述移动终端相关信息可以是移动终端用户卡相关信息 , 所述用户卡相关信息是用户卡中设置的个人身份信息、国际移动用户标识 IMSI信息、用户卡的电子序列号 ESN中的一种或者任意组合。上述移动终端相关信息可以是移动终端标识信息，所述移动终端标识信息是国际移动设备标识 IMEI信息或为该移动终端中设置的个人身份信息。

本发明可以预先设置一个规定的验证操作响应时间，如果第一设备在规定的验证操作响应时间内没有完成一次验证操作，第一设备可以直接判定自己不合法，也可以判定此次验证操作失败并重新进行下一次验证操作。如果下一次验证操作成功，则可以判定第一设备合法。

但是为了防止永远地重复验证，可以规定一个验证操作结束时间，第一设备如果在规定的验证操作结束时间内依然没有通过验证，则直接判定自己不合法。或者可以规定一个验证操作允许次数，第一设备如果在规定的验证操作允许次数内依然没有通过验证，则直接判定自己不合法

在本发明中，第二设备独立于第一设备而存在，也就是第二设备不依赖于第一设备，如果没有第一设备，第二设备可以正常运行。换句话说，第一设备和第二设备的操作相互独立。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明, 凡在本发明的精神和原则之内, 所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种设备险证自身合法性的方法，至少包括如下步骤：

a. 在需要进行自身合法性验证的笫一设备上保存一个密钥，在第二设备上保存对应于所述密钥的配对密钥；

b. 第一设备获取对应于第二设备所保存的相应配对密钥的验证信白 ·

c 第一设备根据所述验证信息判断第一设备保存的密钥和第二设备保存的相应配对密钥是否匹配，如果是，判定自己合法；否则判定自己不合法。

2. 根据权利要求 1所述的方法，其特征是，所述对应于配对密钥的验证信息是配对密钥本身 , 步骤 c所述判断密钥和配对密钥是否匹配是直接判断密钥和配对密钥是否匹配。

3. 根据权利要求 1所述的方法，其特征是，对应于配对密钥的验证信息是对配对密钥进行一个预定计算后得到的计算结果，步驟 b包括：第二设备对对应于第一设备的相应配对密钥进行预定计算，并将计算结果发送给第一设备；

步驟 c进一步包括：第一设备在获取到来自于第二设备的验证信息之后，对自身保存的密钥进行相应的预定计算, 得到一个计算结果；步骤 C所述判断密钥和配对密钥是否匹配是判断两个计算结果是否匹配。

4. 根据权利要求 3所述的方法，其特征是，所述第二设备对配对密钥进行一个预定计算是对配对密钥和一个随机数进行预定联合计算，第一设备对自身保存的密钥进行相应的预定计算是对第一设备保存的密钥和相同的随机数进行相应的预定联合计算。

5. 根据权利要求 4所述的方法，其特征是，在步骤 b之前进一步包括第一设备生成一个随机数并向第二设备发送所述随机数的步骤，或者在步骤 b之前进一步包括第二设备生成一个随机数，在步骤 b中进一步包括第二设备向第一设备发送所述随机数的步骤。

6. 根据权利要求 4所述的方法，其特征是，在步骤 b之前进一步包括第二设备生成一个可控随机数，在步骤 b中进一步包括第二设备向第一设备发送所述可控随机数的步骤，步骤 c中判定自己合法之前进一步包括判断可控随机数是否可以接受，如果是，判定自己合法，否则判定此次验证操作失败。

7. 根据权利要求 3所述的方法，其特征是，该方法进一步包括第二设备生成一个随机数和保存一个验证序列号，所述第二设备对配对密钥进行一个预定计算是对配对密钥、该随机数和一个验证序列号进行预定联合计算，该方法进一步包括第二设备将随机数和验证序列号发送给第一设备，第一设备对自身保存的密钥进行相应的预定计算是对第一设备保存的密钥和接收自第二设备的随机数和验证序列号进行相应的预定联合计算。

8. 根据权利要求 7所述的方法，其特征是，步踝 c中判定自己合法之前进一步包括判断验证序列号是否可以接受，如果是，判定自己合法，否则判定此次验证操作失败。

9. 根据权利要求 8所述的方法，其特征是，该方法进一步包括第一设备保存上次验证成功时的验证序列号，所述判断验证序列号是否可以接收是判断当前验证序列号和第一设备保存的验证序列号之间是否满足预先设定的条件。

10. 根据权利要求 9所述的方法，其特征是，所述预先设定的条件是当前验证序列号和第一设备保存的验证序列号之间的差是否在一个预定范围内。

11. 根据权利要求 3、 4、 7中任意一项所述的方法，其特征是，所述预定计算是加密运算、解密运算或摘要运算中的一种。

12. 根据权利要求 1所述的方法，其特征是，所述一设备是移动终端，所述第二设备是一个验证设备。

13. 根据权利要求 12所述的方法，其特征是，所述验证设备中进一步保存配对密钥和移动终端相关信息之间的对应关系，步骤 b中所述获取对应于第二设备所保存的相应配对密钥的验证信息包括：

移动终端向验证设备发送一个请求获取对应于验证设备所保存的相应配对密钥的验证信息的请求消息；

验证设备在接收到该请求消息之后，根据移动终端相关信息确定对应的配对密钥；

验证设备将包含对应于所确定的配对密钥的验证信息的响应消息发送给移动终端。

14. 根据权利要求 13所述的方法，其特征是，所述验证设备是设置在移动通信网络中的归属位置寄存器 HLR、鉴权中心 AC、设备标识寄存器 EIR中的一种。

15. 根据权利要求 13所述的方法，其特征是，所述验证设备是未结构化补充业务数据 USSD中心，所述请求消息和响应消息是通过 USSD 命令发送的。

16. 根据权利要求 13所述的方法，其特征是，所述验证设备是短消息设备，所述请求消息和响应消息是通过短消息发送的，该方法进一步包括：移动终端从接收自短消息设备的短消息中提取出所述验证信息。

17. 根据权利要求 16所述的方法，其特征是，所述短消息设备是短消息中心，所述作为请求消息的短消息是一个被叫号码为预先分配的特定号码的短消息，作为响应消息的短消息是一个主叫号码为所述特定号码的短消息。

18. 根据权利要求 16所述的方法，其特征是，所述短消息设备是第二移动终端或短消息服务器。

19. 根据权利要求 18所述的方法，其特征是，所述请求消息和响应消息是具有一个验证操作码的短消息。

20. 根据权利要求 13所述的方法，其特征是，该方法进一步包括对于验证设备中保存的配对密钥和移动终端相关信息之间的对应关系设置一个标识，对于丟失的移动终端设置该标识为移动终端已丟失，险证设备确定配对密钥时进一步确定该标识是否表示移动终端已丟失，如果是，不向移动终端返回验证信息；否则执行向移动终端返回验证信息的步驟。

21. 根据权利要求 13所述的方法，其特征是，所述移动终端相关信息是移动终端的用户信息，所述用户信息是移动终端号码信息、国际移动用户标识 IMSI信息或者是用户签约数据中的一种或者任意组合。

22. 根据权利要求 13所述的方法，其特征是，所述移动终端相关信息是移动终端用户卡相关信息，所述用户卡相关信息是用户卡中设置的个人身份信息、国际移动用户标识 IMSI信息、用户卡的电子序列号 ESN 中的一种或者任意组合。

23. 根据权利要求 13所述的方法，其特征是，所述移动终端相关信息是移动终端标识信息，所述移动终端标识信息是国际移动设备标识 IMEI信息或为在移动终端中设置的个人身份信息。

24. 根据权利要求 23所述的方法，其特征是，步驟 b之前进一步包括移动终端向第二设备发送移动终端标识信息的步骤。

25. 根据权利要求 12所述的方法，其特征是，所述验证设备是第二移动终端，所述第二移动终端保存有大于等于 1个的配对密钥，步骤 b 包括：

第一移动终端向第二移动终端发送一个请求获取对应于第一移动终端的配对密钥的请求消息；

第二移动终端在接收到所述请求消息之后，将自己保存的大于等于

1个密钥发送给第一移动终端;

第一移动终端通过比较接收自第二移动终端的大于等于 1个的配对密钥中是否包含与自身保存的密钥匹配的配对密钥来验证自身的合法性。

26. 根据权利要求 25所述的方法，其特征是，所述第一移动终端向第二移动终端发送一个请求获取对应于第一移动终端的相应配对密钥的请求消息和第二移动终端将自己保存的大于等于 1个密钥发送给第一移动终端是通过具有一个验证操作码的短消息来进行的。

27. 根据权利要求 12所述的方法，其特征是，所述验证设备中保存一个配对密钥，步驟 b中所述获取对应于第二设备所保存的相应配对密钥的验证信息包括：

验证设备在接收到该请求消息之后，将包含对应于自己保存的配对密钥的验证信息的响应消息发送给移动终端。

28. 根据权利要求 27所述的方法，其特征是，所述验证设备是电子钥匙或者插入在移动终端中的用户卡。

29. 根据权利要求 12所述的方法，其特征是，在步骤 b之后进一步包括：如果移动终端判定自己不合法，执行停止对用户操作进行响应的锁定服务操作。

30. 根据权利要求 29所述的方法，其特征是，在执行锁定服务操作之后进一步包括：移动终端播放表示用户身份非法的语音信息，或者向通信网络发送表示用户身份非法的通知消息。

31. 根据权利要求 12所述的方法，其特征是，步骤 a进一步包括移动终端将密钥的配对密钥发送给验证设备，验证设备保存配对密钥的步骤，或者进一步包括移动终端将密钥发送给验证设备，验证设备根据该密钥生成配对密钥并保存配对密钥的步骤。

32. 根据权利要求 12所述的方法，其特征是，所述移动终端是移动电话，或者是能够直接或间接连接到移动通信网络的个人数字助理 PDA, 便携式计算机和台式计算机中的一种。

33. 根据权利要求 1所述的方法，其特征是，所述第一设备是计算机设备，所述第二设备是服务器设备，步骤 b包括：

计算机设备向服务器设备发送一个请求获取对应于计算机设备的相应配对密钥的验证信息的请求消息；

服务器设备在接收到所述请求消息之后，将对应于计算机设备的相应配对密钥的验证信息发送给计算机设备；

计算机设备通过比较该验证信息和对应于自身存储的密钥的验证信息是否匹配来验证自身的合法性。

34. 根据权利要求 33所述的方法，其特征是，所述服务器设备是密码管理服务器，在验证合法性之后进一步包括：如果判断自身合法，计算机设备进入正常使用状态或者执行开放特殊功能操作。

35. 根据权利要求 1所述的方法，其特征是，所述第一设备保存的密钥和第二设备保存的配对密钥是一对对称密钥。

36. 根据权利要求 35所述的方法，其特征是，所述密钥和所述配对密钥相同，步骤 c中所述判断第一设备保存的密钥和第二设备保存的相应配对密钥是否匹配是确定对应于第一设备保存的密钥的验证信息和对应于第二设备保存的相应配对密钥的验证信息是否相同。

37. 根据权利要求 35所述的方法，其特征是，所述配对密钥是经过对所述密钥进行一个预定计算得到的，步骤 c中进一步包括第一设备对密钥进行所述预定计算得到一个计算值，所述判断第一设备保存的密钥和第二设备保存的相应配对密钥是否匹配是确定对应于第一设备的计算值的计算信息和对应于第二设备保存的相应配对密钥的计算信息是否相同。

38. 根据权利要求 35所述的方法，其特征是，进一步包括在第一设备中保存密钥和配对密钥之间的对应关系，步驟 c中进一步包括第一设备对自身保存的密钥对应的配对密钥进行和第二设备的计算相应的计算得到一个计算值，所述判断第一设备保存的密钥和第二设备保存的相应配对密钥是否匹配是确定第一设备的验证信息和对应于第二设备保存的相应配对密钥的睑证信息是否相同。

39. 根据权利要求 36至 38中任意一项所述的方法，其特征是，所述验证信息是对密钥或配对密钥进行加密计算或解密运算或摘要计算后得到的验证信息。

40. 根据权利要求 1所述的方法，其特征是，所述第一设备保存的密钥和第二设备保存的配对密钥是一对非对称密钥。

41. 根据权利要求 40所述的方法，其特征是，所述第一设备保存的密钥是私钥，第二设备保存的配对密钥是相应的公钥，步骤 b包括：第一设备向第二设备发送一个随机数，第二设备对该随机数利用对应于第一设备的相应配对密钥进行加密计算，得到随机数的密文，并将随机数的密文发送给第一设备；

步骤 c进一步包括：第一设备在获取到来自于第二设备的随机数的密文之后，利用自身保存的密钥对该密文进行解密，得到一个明文；步骤 C所述判断密钥和配对密钥是否匹配是判断所述明文和所述随机数是否相同。

42. 根据权利要求 1所述的方法，其特征是，该方法进一步包括在第一设备中预先设置一个表示是否执行合法性验证的验证开关的步骤，在步驟 b之前进一步包括：第一设备判断所述验证开关的值是否表示执行合法性验证，如果是，执行步骤1?，否则直接确定自身合法。

43. 根据权利要求 1所述的方法，其特征是，该方法进一步包括对第一设备中保存的验证信息进行维护操作的步骤，并在维护操作之前进一步设置一个维护操作密码；在执行对第一设备的验证信息进行维护操作之前进一步包括：

提示用户输入维护操作密码，并判断用户输入的维护操作密码是否正确，如果正确，对第一设备的验证信息进行维护操作，否则不进行维护操作。 .

44. 根据权利要求 43所述的方法，其特征是，所述验证信息是密钥或表示是否执行合法性验证的验证开关信息；所述维护操作是初始化密钥、删除密钥、修改密钥、查看密钥、打开验证开关、关闭验证开关和查看险证开关状态中的任意一种或者任意组合。

45. 根据权利要求 1所述的方法，其特征是，笫一设备在达到一个特殊状态后立即执行步骤 b，或者在达到一个特殊状态后经过一个随机时间或一个预定时间之后执行步骤 b。

46. 根据权利要求 45所述的方法，其特征是，所述特殊状态是第一设备启动，或者第一设备连接到第二设备，或者到达一个预先设置的周期驺证时间点。

47. 根据权利要求 1所述的方法，其特征是，该方法进一步包括预先设置一个规定的验证操作响应时间，步驟 C中如果在所述规定的验证操作响应时间内没有完成验证操作，第一设备直接判定自己不合法或者判定此次验证操作失败并重新进行验证操作。

48. 根据权利要求 1所述的方法，其特征是，该方法进一步包括预先设置一个规定的验证操作结束时间或验证操作允许次数，步骤 c中如果第一设备在所述规定的验证操作结束时间内或者经过所述验证操作允许次数没有通过验证，直接判定自己不合法。

49. 根据权利要求 1所述的方法，其特征是，第二设备独立于第一设备。